齊向東：數智時代需通過經營安全實現網絡安全動態掌控

“數智時代，保障數據安全成為網絡安全的核心任務。”9月11日，在中國信息化百人會2021峰會主論壇上，中國信息化百人會成員、奇安信集團董事長齊向東發表演講時表示，需要構建內生安全系統，通過經營安全，實現對網絡安全的動態掌控，以解決數智時代數據安全的復雜難題。

（一）數智時代的網絡安全，正在發生三個深刻變化

首先，勒索攻擊成為“流行病”：

數據顯示，2021年，預計每11秒將發生一次勒索攻擊，全年超過300萬次；關鍵基礎設施數字化系統遭受的攻擊愈演愈烈：電網、水利、制造、交通等關鍵基礎設施的數字化系統成為國家級黑客組織的重要攻擊目標。

其次，數據作為這一時代的核心生產要素，數據泄露事件也呈爆炸式增長。

美國分析機構Canalys在報告中指出，2020年數據泄露呈現爆炸式增長，12個月內泄露的記錄超過過去15年的總和，與2019年相比增長了60％。

關鍵基礎設施數字化系統遭受的攻擊愈演愈烈。

當前，電網、水利、制造、交通等關鍵基礎設施的數字化系統成為國家級黑客組織的重要攻擊目標。造成社會混亂和持久破壞的網絡攻擊事件激增，各國紛紛出臺法律法規，嚴格保護關基設施。

數據成為核心生產要素，人類社會進入數智時代。數據安全保障了數據流動并促進了發展創新，而發展創新和數據的流動推動了數智時代的到來。因此，保障數據安全成為網絡安全核心任務，我國在法律政策層面采取諸多措施。《網絡安全法》、《數據安全法》、《個人信息保護法》，與其他相關法律法規共同構筑了中國數據安全領域的法律框架。

齊向東認為，數智時代，數據安全讓網絡安全從“簡單”走向“復雜”，法律法規只是安全保障的手段之一。他指出，傳統IT時代，由于場景固定，可通過圍墻式防護在專網邊界安裝簡單安全產品；數智時代，數據有生產、使用和交易問題，系統成了大數據架構的復雜系統，無法靠安裝簡單的安全產品或者某種“銀彈”防住一切網絡攻擊。

（二）定制度、建系統，解決數據安全的復雜難題

如何解決數據安全的復雜難題？齊向東表示，首先要守住“數據采集、數據存儲、數據流動”三條紅線。具體執行方面，則需要通過定制度、建系統來實現。

調查顯示，內部威脅是當前網絡安全的最大危害，超85%的網絡安全威脅來自內部，危害遠超黑客攻擊和病毒造成的損失。對此齊向東提出了關于人的兩大“失效定律”：一切忽略人性的管理手段都會失效，一切沒有技術手段保障的管理措施都會失效。

在兩大失效定律指導下，齊向東認為要從內部消除數據安全威脅，就需要建立內生安全系統，在安全體系設計中考慮人的因素，及時發現內部人員的異常行為，并及時檢測和阻斷來自內部的攻擊，從而有效防止破紅線。

同時，齊向東提出可通過“網絡安全建設三部曲”解決數智時代數據安全的復雜難題：把內生安全理念，用系統工程方法落地成完整的安全防護體系，最后通過經營安全做到對網絡安全的動態掌控。

（三）數智時代經營安全，需建立一個中心兩個體系

“經營安全的本質是動態掌控，它需要通過設立目標、投入足夠資源和專業高效的安全運營服務來實現。”齊向東指出，還需要建立一個中心兩個體系：即網絡安全態勢感知與管控中心、網絡安全防護體系以及動態授信體系。

“態勢感知與管控中心是大腦、四肢、武功的三合一。”齊向東強調，監管態勢是“大腦”、運營態勢“四肢”、攻防態勢是“武功”。態勢感知與管控中心將監管態勢、運營態勢、攻防態勢合為一體，實現全天候全方位感知網絡安全態勢。

動態授信體系有效解決數智時代的信任問題。齊向東表示，數據成為生產要素后，誰在什么場景、用于什么目的、可以使用什么數據里的什么字段，也變成了一種授信問題。利用零信任體系以“權限最小化”為原則建立動態評估信任機制，給每個主體、客體附加很多屬性，一旦發現某個屬性消失，授信就自動取消。

數據安全體系滿足全周期全流程的數據安全需求。數據安全體系作為網絡安全防護體系的重要部分，采用系統工程的方法，從數據安全運行視角，以新型數據中心的業務場景為依托，囊括治理態、規劃態和運行態，細致展現了數據安全治理結果轉化到規劃設計、技術落地的過程；并通過數據策略中心層、數據流轉管控層、數據應用安全能力層和數據中心安全能力層四個層次，滿足全周期、全流程的數據安全需求。